PKICA基础知识培训

格式：ppt
大小：2.24 MB
文档页数：62

下载文档原格式

网络系统复习题及答案要点

一．单项选择题1.以下关于混合加密方式说法正确的是：（B ）A.采用公开密钥体制进行通信过程中的加解密处理B.采用公开密钥体制对对称密钥体制的密钥进行加密后的通信C.采用对称密钥体制对对称密钥体制的密钥进行加密后的通信D.采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点2.以下关于数字签名说法正确的是：（ D ）A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B.数字签名能够解决数据的加密传输，即安全传输问题C.数字签名一般采用对称加密机制D.数字签名能够解决篡改、伪造等安全性问题3.在以下人为的恶意攻击行为中，属于主动攻击的是（A ）A.数据篡改及破坏B.数据窃听C.数据流分析D.非法访问4.数据完整性指的是（ C ）A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B.提供连接实体身份的鉴别C.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致D.确保数据数据是由合法实体发出的5.以下关于CA认证中心说法正确的是：（C ）A.CA认证是使用对称密钥机制的认证方法B.CA认证中心只负责签名，不负责证书的产生C.CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份D.CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心6.关于CA和数字证书的关系，以下说法不正确的是：（ B ）A.数字证书是保证双方之间的通讯安全的电子信任关系，他由CA签发B.数字证书一般依靠CA中心的对称密钥机制来实现C.在电子交易中，数字证书可以用于表明参与方的身份D.数字证书能以一种不能被假冒的方式证明证书持有人身份7.以下算法中属于非对称算法的是（ B ）A.DESB.RSA算法C.IDEAD.三重DES8.入侵检测系统的第一步是：（B ）A.信号分析B.信息收集C.数据包过滤D.数据包检查9.以下哪一项不是入侵检测系统利用的信息：（C ）A.系统和网络日志文件B.目录和文件中的不期望的改变C.数据包头信息D.程序执行中的不期望行为10.CA认证中心的主要作用是：BA.加密数据B.发放数字证书C.安全管理D.解密数据11.数字证书上除了有签证机关、序列号、加密算法、生效日期等等外，还有：AA.公钥B.私钥C.用户帐户12.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ B ）A.非对称算法的公钥B.对称算法的密钥C.非对称算法的私钥D.CA中心的公钥13.以下不属于代理服务技术优点的是（ D ）A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭14.以下关于计算机病毒的特征说法正确的是：（ C ）A.计算机病毒只具有破坏性，没有其他特征B.计算机病毒具有破坏性，不具有传染性C.破坏性和传染性是计算机病毒的两大主要特征D.计算机病毒只具有传染性，不具有破坏性15.以下关于宏病毒说法正确的是：（B ）A.宏病毒主要感染可执行文件B.宏病毒仅向办公自动化程序编制的文档进行传染C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区D.CIH病毒属于宏病毒16.防火墙中地址翻译的主要作用是：BA.提供代理服务B.隐藏内部网络地址C.进行入侵检测D.防止病毒入侵17.防治要从防毒、查毒、（A ）三方面来进行：A.解毒B.隔离C.反击D.重起18.包过滤技术与代理服务技术相比较（ B ）A.包过滤技术安全性较弱、但会对网络性能产生明显影响B.包过滤技术对应用和用户是绝对透明的C.代理服务技术安全性较高、但不会对网络性能产生明显影响D.代理服务技术安全性高，对应用和用户透明度也很高19.网络层安全性的优点是： AA．保密性B．按照同样的加密密钥和访问控制策略来处理数据包C．提供基于进程对进程的安全服务D．透明性20.加密技术不能实现：（D ）A.数据信息的完整性B.基于密码技术的身份认证C.机密文件加密D.基于IP头信息的包过滤21.加密有对称密钥加密、非对称密钥加密两种，其中非对称密钥加密的代表算法是：EA.IDEB.DESC.PGPD.PKIE.RSAF.IDES22.木马病毒是：CA.宏病毒B.引导型病毒C.蠕虫病毒D.基于服务/客户端病毒23."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？" （ B ）A.56位B.64位C.112位D.128位24.黑客利用IP地址进行攻击的方法有：（A ）A.IP欺骗B.解密C.窃取口令D.发送病毒25.加密有对称密钥加密、非对称密钥加密两种，其中对称密钥加密的代表算法是：BA.IDEB.DESC.PGPD.PKIE.RSAF.IDES26.IDS规则包括网络误用和：AA.网络异常B.系统误用C.系统异常D.操作异常27.所谓加密是指将一个信息经过（ A ）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数、（）还原成明文。

PKI体系结构知识学习

PKI体系结构学习笔记一PKI基础1.1基本概念1.PKI（public key infrastructure）即公钥基础结构2.PKI由公钥加密技术，数字证书，证书颁发机构（CA），注册机构（RA）等组成数字证书用于用户的身份验证，CA是一个可信任的实体，负责发布，更新及吊销证书，RA接收用户请求功能3.数据加密是发送方使用接收方的公钥进行数据加密，接收方使用自己的私钥解密这些数据，数据加密能保证所发送数据的机密性。

数据签名是发送方使用自己的私钥加密，接收方使用发送方的公钥解密，数据签名能保证数据的完整性，操作的不可否认性两个密钥是成对生成，不能由一个推算出另一个，公钥加密的数据由私钥解密，私钥加密的数据由公钥进行加密4.CA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。

5.CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。

6.CA的核心功能就是发放和管理数字证书，具体功能描述如下:（1）接收验证用户数字证书的申请。

（2）确定是否接受用户数字证书的申请，即证书的审批。

（3）向申请者颁发（或拒绝颁发）数字证书。

（4）接收、处理用户的数字证书更新请求。

（5）接收用户数字证书的查询、撤销。

（6）产生和发布证书吊销列表（CRL）。

（7）数字证书的归档。

（8）密钥归档。

（9）历史数据归档。

7.数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

8.数字证书的存储介质主要有：软盘，硬盘，IC卡，Usb Key9.数字证书的原理：利用一对互相匹配的密钥进行加密、解密。

PKI基本原理培训

tenartni/tenretnI
revreS beW a .g.e
统系用应书证 ytirohtuA noitartsigeR
)AR( seitirohtuA noitartsigeR 统系册注书证 • )AC( seitirohtuA noitacifitreC 统系发签书证 • � 成构分部几下以由统系 I K P 个一
64
tenartni/tenretnI
库据数请申护维 • 者使讯通的间之AC和点理受书证 • 书证发签户用该为以可否是心中AC知通 •
ytirohtuA noitartsigeR
志日计审护维 •
核审行进者请申书证对责负 •
74
tenartni/tenretnI
器务服 • 人个 • 业企 • 关机 •
月�年7002 司公限有份股术技息信元正大吉虎林李
2
绍介识知础基学码密 � 言引 �
绍介识知础基IKP �
绍介术技IKP
3
�你信相何如我�里界世拟虚络网在
…
4
?件邮子电过发我给实确人某明证何如 • ?改篡被否是息信子电定确样怎 • ?全安讯通的我证保能才样怎 • ?点站的信可个一是的接连我道知何如 • ?份身的人某认确何如 • . . . 是的心担们人但问访统系用应行进 • 据数的有私或的感敏送发 • 件软发分 • 件邮送发 • . . . ten re tnI /NA L 用使
•
•
5
?息信到收/出发否是
到收未
?讯通谁与在我造伪
smialC
?
出发未
赖抵可不
�吗过改篡被息信的出发
改篡
证认份身
?全安否是讯通截拦

首都机场控制区准入培训教材（考试重点）

首都机场控制区准入培训教材（考试重点）第二章机场控制区通行证 (7)第一节机场控制区通行证的基本知识 (7)一、依据 (7)二、通行证的种类、内容 (7)三、通行证通行区域的划分（考试重点） (10)四、控制区通行规则 (11)五、通行证的管理及分工 (11)第二节机场控制区通行证的使用（考试重点） (14)一、通行证的规范使用 (14)二、陪同人的规范行为 (18)第三章控制区门禁使用 (20)一、控制区门禁系统介绍 (20)二、控制区门禁的规范使用（考试重点） (22)三、航站楼隔离区安全线门的管理 (24)第四章大宗液态的运送及使用 (25)一、液态物品的分类 (25)二、运送大宗液态物品进入控制区须知（考试重点） (25)第五章机场控制区工具、物料携带 (26)第六章空防安全行为规范（考试重点）...........................................................................28 第二章机场控制区通行证第一节机场控制区通行证的基本知识一、依据为进一步加强首都机场控制区通行证的管理，维护机场控制区的秩序，保障民用航空安全，依照《中华人民共和国民用航空法》、《中华人民共和国治安管理处罚法》、《中华人民共和国居民身份证法》、《中华人民共和国民用航空安全保卫条例》、《国家民用航空安全保卫规划》、《民用航空背景调查规定》等有关法律、法规、规章，首都机场公安分局制定发布了《北京首都国际机场控制区通行证管理规定》（以下简称《控制区证件管理规定》），通行证持有人须遵守《控制区证件管理规定》的相关要求。

二、通行证的种类、内容（一）概念首都机场控制区通行证（以下简称通行证）是指在首都机场控制区内工作的人员或因工作需要出入控制区的人员获得批准后进出机场控制区的凭证。

（二）种类及内容通行证按照使用对象及使用期限分为一类通行证、二类通行证、三类通行证、四类通行证。

PKI基本知识PPT课件

PKI基本知识
什么是PKI PKI的作用 PKI的组成部分相关技术标准
2019/9/12
1
linying@
数字证书与认证中心CA
PKI——Public Key Infrastructure公钥基础设施。属于安全基础设施，是一个用公钥技术来实施和提供安全服务的具有普适性的安全基础设施。
PKI的主要任务是管理密钥和证书 PKI由CA、RA、证书库、密钥备份与恢复系
统、证书废除系统、应用接口组成 PKI标准化文档包括X.509、PKIX、PKCS等。
2019/9/12
21
linying@
PKI关键技术
数字证书证书认证中心证书撤销机制 PKI信任模型
2019/9/12
22
linying@
什么是证书
数字证书是数字证书颁发机构CA在检验确认申请用户的身份后向用户颁发的。
数字证书包括用户基本数据信息用户公钥 CA对证书的签名，保证证书的真实性
2019/9/12
23
linying@
证书的作用
2019/9/12
14
linying@
PKI的性能要求
透明性和易用性可扩展性互操作性支持多应用支持多平台
2019/9/12
15
linying@
PKI的运营考虑
物理安全系统安全数据安全流程安全人员安全
2019/9/12
2019/9/12
3
linying@
PKI基础技术：
数据加解密√ Hash摘要√ 数字签名√
2019/9/12
4
linying@
为什么需要PKI

PKICA

PKI基本组成
• 证书管理机构（CMA）
–将CA和RA合起来称CMA(certificate management authority)。
• 证书存档(Repository)
–一个电子站点，存放证书和作废证书列表（CRL）， CA在用证书和作废证书。
PKI中的证书
• 证书(certificate)
美、加PKI/CA体系对比
• 两种体系的比较
3、采用的技术方面。美国联邦PKI体系中的成员采用多种不同的PKI产品和技术，如Verisign,Baltimore和Entrust等公司的技术；而加拿大政府PKI体系中强调使用Entrust公司的技术。 4、在组成成员方面。美国联邦PKI体系包括各级政府和与政府有商业往来的合作伙伴；而加拿大政府PKI体系的成员都是联邦的各级政府。
• 1 PKI基本概念 2 美国、加拿大PKI/CA体系的对比 • 3 PKI中常用的密码技术 • 4 PKI体系结构与功能操作 • 5 X.509标准 • 6 认证机构CA系统
美、加PKI/CA体系对比
• 美国联邦PKI体系美国联邦PKI是自下而上建立的一个庞大PKI体系。联邦政府首先成功地在各联邦机构中分别使用了不同的PKI产品， PKI产品的多样性提高了政府机构的工作效率，但也造成了各机构彼此之间难以互操作的问题。为了增强彼此间合作，解决不同信任域之间，联邦政府计划联合各联邦机构中独立的PKI/CA共同组建美国联邦PKI体系。美国联邦PKI体系主要由联邦的桥认证机构（FBCA， FederalBridgeCA）、首级认证机构（PCA，PrincipalCA）和次级认证机构（SCA，SubordinateCA）等组成。
PKI基本组成
• PKI由以下几个基本部分组成： –公钥证书 –证书作废列表（CRL） –策略管理机构（PMA） –认证机构（CA） –注册机构（RA） –证书管理机构（CMA） –证书存档（Repository）

PKI

PKI/CA 技术的介绍∙摘要：PKI 中最基本的元素就是数字证书。

所有安全的操作主要通过证书来实现。

PKI 的硬设备还包括签置这些证书的证书机构(CA) ，登记和批准证书签置的登记机构(RA) ，以及存储和发布这些证书的电子目录。

PKI 中还包括证书策略，证书路径以及证书的使用者。

所有这些都是PKI 的基本元素。

许多这样的基本元素有机地结合在一起就构成了PKI 。

∙标签：PKI CAPKI 就是Public Key Infrastructure 的缩写，翻译过来就是公开密钥基础设施。

它是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的一种基础设施。

美国政府的一个报告中把PKI 定义为全面解决安全问题的基础结构，从而大大扩展了PKI 的概念。

而我们认为，采用了公开密钥技术的基础设施就可以称为PKI 。

公开密钥技术也就是利用非对称算法的技术。

说PKI 是基础设施，就意味着它对信息网络的重要。

将PKI 在网络信息空间的地位与电力基础设施在工业生活中的地位进行类比非常确切。

电力系统，通过伸到用户的标准插座为用户提供能源。

PKI 通过延伸到用户本地的接口，为各种应用提供安全的服务，如认证、身份识别、数字签名、加密等。

从概念上讲，如果离开使用PKI 的应用系统，PKI 本身没有任何实际的用处，正如电力系统离开电器设备也没有用一样。

有了PKI ，安全应用程序的开发者不用再关心那些复杂的数学运算和模型，而直接按照标准使用一种插座（接口）。

用户也不用关心如何进行对方的身份鉴别而可以直接使用标准的插座，正如在电力基础设施上使用电吹风一样。

PKI 中最基本的元素就是数字证书。

所有安全的操作主要通过证书来实现。

PKI 的硬设备还包括签置这些证书的证书机构(CA) ，登记和批准证书签置的登记机构(RA) ，以及存储和发布这些证书的电子目录。

PKI 中还包括证书策略，证书路径以及证书的使用者。

所有这些都是PKI 的基本元素。

首都机场控制区准入培训教材

目录第一部分空防安全知识第一章首都机场空防安全概况 (1)一、基础知识 (1)二、管理依据 (1)三、管理架构 (1)四、主要内容 (2)五、航空保安设施设备 (4)第二章机场控制区通行证 (7)第一节机场控制区通行证的基本知识 (7)一、依据 (7)二、通行证的种类、内容 (7)三、通行证通行区域的划分（考试重点） (10)四、控制区通行规则 (11)五、通行证的管理及分工 (11)第二节机场控制区通行证的使用（考试重点） (14)一、通行证的规范使用 (14)二、陪同人的规范行为 (18)第三章控制区门禁使用 (20)一、控制区门禁系统介绍 (20)二、控制区门禁的规范使用（考试重点） (22)三、航站楼隔离区安全线门的管理 (24)第四章大宗液态的运送及使用 (25)一、液态物品的分类 (25)二、运送大宗液态物品进入控制区须知（考试重点） (25)第五章机场控制区工具、物料携带 (26)第六章空防安全行为规范（考试重点） (28)第二部分综合知识第一章飞行区安全 (31)一、本章概述 (31)二、保障作业 (38)第二章消防安全 (54)一、消防设备设施管理 (54)二、消防疏散 (56)三、消防报警 (57)四、移动灭火器的使用 (58)五、消防安全标志 (59)第三章旅客服务 (60)一、首问负责 (60)二、服务礼仪 (62)三、旅客优先 (64)四、旅客投诉 (65)第四章员工日常行为规范 (66)一、用电安全 (66)二、运行秩序 (68)（一）乘坐APM须知 (68)（二）手推车的使用 (69)（三）应急设备设施 (69)（四）电梯的使用 (70)（五）严禁坐踏行李设备 (70)（六）设施设备的资格认证 (70)（七）航空垃圾的处理 (71)三、职业健康安全 (72)（一）反光服装 (72)（二）行李处理区域佩戴安全帽 (73)四、施工管理 (75)五、吸烟规定 (77)第五章重点治安刑事法律常识 (80)一、法律依据 (80)二、刑事法律常识 (80)附件一：首都机场控制区通行证区域划分图 (92)附件二：安全检查禁、限带物品的有关要求 (93)第一部分空防安全知识第一章首都机场空防安全概况一、基础知识航空安全保卫（空防安全）是指保护民用航空免遭人为的非法干扰行为的破坏，而采取的各项措施和使用的人力、物力的总和。

PKI知识内部培训PPT课件

明文 Alice
公钥加密系统的数字加密
Alice公钥
③
加密
②
密文传送
④
①
解密
⑤
Alice公钥 Alice私钥
明文 Bob
Internet/Intranet
明文 Alice
使用公钥加密法交换对称密钥
②
Alice公钥
④
公钥加密
共享会话密钥
⑤
①
私钥解密
⑥
Alice公钥 Alice私钥
构(PKI)的组件
证书和CA 管理工具
证书颁发机构
AIA 和 CRL 分发点
证书模版
数字证书
证书吊销列表
基于公钥加密的应用或服务
基于PKI的应用
加密文件系统
数字签名
智能卡登陆
Internet 验证
Windows 2008 证书服务
安全的邮件
软件限制策略
802.1x
IPSec
软件代码签名
应用如何检查证书状态
用于保护数据的完整性
SHA、MD5、
二.数字证书与PKI概述
• 数字证书简介 • 数字证书的用途 • 数字证书的内容 • 数字证书的颁发 • PKI介绍 • 公钥架构(PKI)的组件 • 基于PKI的应用 • 应用如何检查证书状态
数字证书简介
• 数字证书又称为数字标识（Digital Certificate， Digital ID）。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。
数据保密性是使用加密最常见的原因
数据完整性
数据保密对数据安全是不足够的，数据仍有可能在传输时被修改，依赖于Hash函数可以验证数据是否被修改

PBOC规范研究之五、安全相关的PKI基础知识（转）

PBOC规范研究之五、安全相关的PKI基础知识（转）公钥基础设施PKI(Public Key Infrastructure)是以不对称秘钥加密技术为基础，以数据机密性，完整性、身份认证，行为不可抵赖性为安全目的，来提供安全服务的具有普遍适用性的安全基础设施。

它的主要内容包括数字证书、不对称密码技术、认证中心。

证书和秘钥的管理、安全代理软件、不可否认服务、时间戳服务，相关的信息标准等，具体来说，PKI解决了信息传递中一系列必须解决的问题，例如：接收信息的人是否就是应该接收该信息的人？接收信息的人是否具有相应的安全等级来看这些信息？数据在传输和保存时，是否本人暗中修改过？数据的加密措施是否可靠？等等！必须承认，要解决上述问题虽然PKI不是唯一的方案，但是可以说PKI是目前最完善的唯一最可行的技术。

PKI的主要构成如下：第一、数字证书是由认证机构经过数字签名后发给网上信息交易主体(企业或者个人，设备或者程序)的一段电子文档。

这段文档包括主体名称、证书序列号、发证机构名称、证书有效期、秘钥算法标识、公钥和私钥信息等。

签名证书和加密证书分开，最常用的证书格式为X.509 v3，x.509的证书结构如下图所示：X.509证书格式版本1、2、3序列号在CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间个体名字个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名第二、认证中心(CA Certification Atuthority)CA是PKI的核心。

它是公正、权威、可信的第三方网上认证机构，负责数字证书的签发、撤销、生命周期管理、秘钥管理和证书在线查询等服务；CA为使用公开密钥的用户发放数字证书，以此证明证书中列出的用户名称与证书中列出的公开密钥相对应；CA在数字证书上的数字签名使得攻击者不能伪造和篡改数字证书；CA还负责数字证书的撤销，公布列入CRL的证书CA的主要职责如下:接收验证最终用户数字证书的申请。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

• C=O P=B • D=P Q=C
• E=Q R=D • F=R S=E
• G=S T=F • H=T U=G
• I=U V=H • J=V W=I • K=W X=J • L=X Y=K • M=Y Z=L •
输入 = itrus 算法= 字母右移密钥= 12 输出 = ufdge
PKI技术基础：对称密钥体制
对称密钥 (A & B共享)
密文 !!??
偷听者
明文
Hi Bob Alice
Bob Decrypt
M=D(C, K)
aN!3q *nB5+
D = 解密算法
乱码信息
常见的对称加密算法
算法
DES
Triple-DES RC4 IDEA
Skipjack
提供者
密钥长度
可用性
NSA, NIST, ANSI
40 & 56 bits
篡改
数据库
网络安全的整体框架
用户的安全性数据的安全性应用程序的安全性系统的安全性网络层的安全性
安全框架
身份认证数据加密、签名
访问授权防病毒、入侵检测、
漏洞扫描防火墙、VPN
解决方法
PKI/CAຫໍສະໝຸດ 数字世界的信息安全要素PAIN： Privacy（保密性）
确认信息的保密，不被窃取
Authentication & Authorization（鉴别与授权）
– 基础设施
• 如同电力基础设施为家用电器提供电力一样
• PKI为各种互联网应用提供安全保障
– 技术基础：基于公开密钥技术
• 传统密码技术——对称密钥技术 • 公开密钥技术 • 数字签名技术
PKI/CA可实现
网络上的真实身份证明对信息进行数字签名，实现了对过去的操作的可追述性，抗抵赖对通过网上传送的信息进行加密，无关人员截取后也无法破解保证网上传输信息的完整性和真实性，无关人员无法随意窜改 ……
DSA ➢ 最初由NIST于1991年发布 ➢ 只能使用私钥加密，通常用作数字签名
Diffie-Hellman算法 ➢ 只能用来进行对称密钥交换
公钥加密的问题
公钥加解密对速度敏感 ➢ 大数幂运算，因此非常慢 ➢ 软件，公钥算法比对称密钥算法慢 100 0多倍。（硬件可能慢 100 倍）
公钥加密长信息无法接受的慢，而对称密钥算法非常快结合公钥算法和对称密钥算法，使用对称密钥与公开密钥的优点
- 同上 -
80 & 112 bits
RSA
40－128可变
ASCOM-Tech, 128 bits Switzerland
NSA
80 bits
公开广泛应用，目前强度太低；
DES的变种，足够强壮 RSA私有算法，较强壮 ASCOM私有算法，PGP中使用
1998年解密，美国政府密码芯片中采用算法
对称密钥体制的弱点
PKI/CA基础知识培训
议程
Outline
PKI/CA基础知识 PKI/CA相关产品和技术针对PKI/CA技术进行现场交流
针对PKI/CA技术进行现场交流
抵赖
?假冒的用户
用户
?假冒的站点
网上应用系统服务器
窃听
如何确认彼此的身份？通过互联网被窃听，导致信息泄漏信息被篡改，导致信息不完整用户对发送信息进行抵赖，没有抗抵赖的依据
明文
Hi Bob Alice
4. 解密
Bob
3. 解密
会话密钥
B 的私钥
PKI技术基础：数字签名技术
数字签名的需求 ➢ Alice 需要一个方法签名一个信息，必须确认是从她发出，因此需要将她的身份和信息绑定在一起。 ➢ 我们用传统的方法将Alice的普通签名数字化后附加在文档的后面
确认对方的身份并确保其不越权
Integrity（完整性）
确保你收到信息没有被篡改
Non-Repudiation（抗抵赖）
有证据保证交易不被否认
什么是PKI
公钥基础设施（Public Key Infrastructure）
利用公开密钥理论和技术建立的提供安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。
➢ 对称密钥快速而强健 ➢ 公开密钥易于密钥交换
组合对称密钥和公开密钥
明文
HHii BBoobb AAlliiccee
Alice
1. 加密
会话密钥
2. 加密
B的公钥
密文
xaF4m 78dKm
会话密钥
产生一个一次性，对称密钥——会话密钥用会话密钥加密信息最后用接收者的公钥加密会话密钥——因为它很短
密钥管理
如何安全的共享秘密密钥每对通信者间都需要一个不同的密钥，N个人通信需要＝n(n-1)/2密钥不可能与你未曾谋面的人通信
没有解决不可抵赖问题
文档不能被签名通信双方都可以否认发送或接收过的信息
PKI技术基础：公开密钥体制
用户甲拥有两个对应的密钥用其中一个加密，只有另一个能够解密，
两者一一对应用户甲将其中一个私下保存（私钥），
另一个公开发布（公钥）如果乙想送秘密信息给甲
➢ 乙获得甲的公钥 ➢ 乙使用该公钥加密信息发送给甲 ➢ 甲使用自己的私钥解密信息
密钥长度：512－2048位（4096）
公钥算法－加密模式
B 的公钥明文
B 的私钥明文
HHi iBBoobb AAliclicee
Alice 加密
Ciphertext
PKI的虚拟与现实
John HaEASock
保密性完整性抗抵赖授权身份鉴证
加密
Digital Signature
私钥与数字签名
数字证书
PKI技术基础——密码理论
对称密钥体制 —— 对称密码学公开密钥体制 —— 公开密码学散列函数数字签名
加密简介
• A=M N=Z • B=N O=A
单密钥加密用户甲拥有一个秘密密
钥如果乙想送秘密信息给
甲
➢ 甲发送自己的秘密密钥给乙
➢ 乙用此密钥加密信息发送给甲
➢ 甲用自己的密钥解密信息
密钥长度一般为40－128 （256）
对称加密算法
明文
Hi Bob Alice
Alice Encrypt
C=E(M, K)
C = 密文 M = 明文 K = 密钥 E = 加密算法
Hi Bob AAlilcicee
解密 Bob
A 发送机密信息给 B, 知道只有 B 可以解密 A 用 B 的公钥加密 (公开) B 使用自己的私钥解密 (保密)
常用的公开密码算法
RSA ➢ Ron Rivest, Adi Shamir和Len Adleman于1977年研制并且1978年首次发表 ➢ 可以用私钥加密和公钥加密